Почему я получаю сообщение «Не удалось создать безопасный канал SSL/TLS» при прикреплении сертификата клиента?
Я вижу это сообщение, когда мой код пытается отправить запрос на сервер, который требует, чтобы запросы сопровождались сертификатом клиента со своим закрытым ключом (это может быть необычная ситуация). Используя запрос, отправленный через SoapUI, я проверил, что сертификат работает. Возможно, мой код неправильно прикрепляет сертификат?
Код выглядит так (вероятно, он содержит много всего, что не требуется при поиске неуловимого решения):
// build stuff
var httpClientHandler = new HttpClientHandler
{
AutomaticDecompression = DecompressionMethods.Deflate | DecompressionMethods.GZip,
ClientCertificateOptions = ClientCertificateOption.Manual
};
var certificate = new X509Certificate(certName, password, X509KeyStorageFlags.UserKeySet);
httpClientHandler.ClientCertificates.Add(certificate);
var request = new HttpRequestMessage(HttpMethod.Post, url)
{
Content = new StringContent(requestBody, Encoding.UTF8, "application/xml")
};
var httpClient = new HttpClient(httpClientHandler);
httpClient
.DefaultRequestHeaders
.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
// Enable protocols
ServicePointManager.Expect100Continue = true;
ServicePointManager.SecurityProtocol |= SecurityProtocolType.Tls11 | SecurityProtocolType.Tls12 | SecurityProtocolType.Tls;
ServicePointManager.ServerCertificateValidationCallback = (sender, cert, chain, sslPolicyErrors) => true;
// fire! (here's where the exception is thrown)
var response = await httpClient.SendAsync(request).ConfigureAwait(false);
@pepo, у меня возникли проблемы с поиском сертификата в магазине. Является ли хранилище каким-то образом необходимой частью процесса, или я могу просто использовать X509Certificate2 вместо X509Certificate, сохраняя при этом импорт из файловой системы?
Если у вас есть файл pfx/pkcs12, то вам ИМХО не нужно использовать x509store. Просто создайте новый экземпляр x509certificate2.
@pepo, на самом деле у меня был файл .cer, который, как оказалось, был проблемой. Спасибо за ваш вклад.
Ответы 1
Проблема в этом случае была с сертификатом, а именно с закрытым ключом.
Я использовал сертификат .cer, который ведет себя иначе, чем файл .pfx. SoapUI и curl отлично работают с .cer, но код C#, который загружает .cer, теряет закрытый ключ. (Почему сервер, к которому мы подключаемся, требует закрытого ключа — это другой вопрос — насколько я понимаю, он не должен — благодарен за любые мысли по этому поводу.) Точно так же файлы .cer, загружаемые в хранилище через оснастку MMC, также теряют закрытый ключ. Я не узнал, почему.
Хотя мои первоначальные попытки загрузить файл .pfx в хранилище сертификатов увенчались успехом, когда я начал запускать свое приложение под другой учетной записью, вернулась ошибка «Не удалось создать безопасный канал SSL/TLS» (пояснения здесь и здесь). По сути, хранилище сертификатов содержит закрытый ключ в месте файловой системы, доступном только для пользователя, загружающего сертификат в хранилище.
Вместо этого я загрузил сертификат прямо из файловой системы, например:
var certBytes = File.ReadAllBytes(certFileName);
var certificate = new X509Certificate2(certBytes, password, X509KeyStorageFlags.Exportable);
var httpClientHandler = new HttpClientHandler();
httpClientHandler.ClientCertificates.Add(certificate);
var request = new HttpRequestMessage(HttpMethod.Post, url)
{
Content = new StringContent(requestBody, Encoding.UTF8, "application/xml")
};
var httpClient = new HttpClient(httpClientHandler);
httpClient
.DefaultRequestHeaders
.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
// fire!
var response = await httpClient.SendAsync(request).ConfigureAwait(false);
Я подозреваю, что эта строка может быть причиной
var certificate = new X509Certificate(certName, password, X509KeyStorageFlags.UserKeySet);, по которой я бы попробовал X509Certificate2. Сначала откройте X509Store (CurrentUser\My), найдите клиентский SSL-сертификат для использования и добавьте его вhttpClientHandler.ClientCertificates.